IDS

System wykrywania włamań monitorujący ruch sieciowy lub zdarzenia systemowe pod kątem podejrzanej aktywności i alarmujący administratorów.

IDS (Intrusion Detection System) to system, który nieustannie podgląda ruch sieciowy albo zdarzenia na hoście i podnosi alarm, gdy wywęszy coś podejrzanego: skanowanie portów, próbę exploita, nietypowy ruch wychodzący czy znany wzorzec ataku. Kluczowe słowo to detection — IDS wykrywa i ostrzega, ale sam z siebie ruchu nie blokuje. To, czy potrafi też zatrzymać atak, wyznacza granicę między IDS a jego bardziej napakowanym kuzynem IPS (Intrusion Prevention System).

Jak to działa i po co Ci to

IDS dzieli się na dwa główne typy. NIDS (network-based) siedzi na styku sieci i analizuje pakiety — zwykle dostaje kopię ruchu przez port mirroring (SPAN) albo sprzętowy TAP. HIDS (host-based) działa na konkretnej maszynie i pilnuje logów, integralności plików oraz procesów. Do tego dwie metody wykrywania: signature-based porównuje ruch ze znanymi wzorcami ataków (szybkie, ale ślepe na nowości), a anomaly-based uczy się tego, co u Ciebie „normalne”, i reaguje na odchylenia (łapie nowe ataki, ale potrafi sypać fałszywymi alarmami).

W praktyce IDS to Twoje oczy i uszy. Nie powstrzyma włamania w locie, ale da Ci alert, log i kontekst — wiesz, że ktoś puka do drzwi, najlepiej zanim wejdzie. To także materiał dla zespołu SOC i wsad do systemu SIEM.

Przykład z praktyki

Klasyk to Snort oraz nowsza, wielowątkowa Suricata. Stawiasz Suricatę na interfejsie monitorującym i ładujesz reguły, np. z zestawu Emerging Threats. Tryb nasłuchu odpalisz tak:

suricata -i eth0 -c /etc/suricata/suricata.yaml

Gdy ktoś próbuje wykorzystać znaną podatność, w fast.log albo w eve.json wyląduje wpis z nazwą reguły, źródłowym IP i klasyfikacją zdarzenia. Tyle — reszta należy do Ciebie.

Częste błędy i mity

  • „IDS = firewall”. Nie. Firewall decyduje, co przepuścić; IDS tylko obserwuje i krzyczy. To różne warstwy obrony.
  • Postaw i zapomnij. IDS bez aktualizowanych reguł i kogoś, kto czyta alerty, to droga ozdoba. Sam alert nikogo nie obroni.
  • Zalew fałszywych alarmów. Źle dostrojony anomaly-based generuje tyle szumu, że realny atak ginie w tłumie. Tuning to nie opcja, tylko obowiązek.
  • Ślepota na szyfrowanie. NIDS bez dostępu do odszyfrowanego ruchu nie zajrzy do środka HTTPS — widzi tylko metadane.

Pojęcia powiązane

IPS, firewall, SIEM, SOC, Snort, Suricata, false positive, sygnatura ataku, NIDS, HIDS.